PHP到MsSql查询-转义引号（'）问题

Question

我正在建立我的查询：

$q = sprintf("UPDATE testTable SET Text='%s', [Read]=0, TimeUpdated='%s', [From]='%s' WHERE ID='%s'", ms_escape_string($text), $dateReceived, $from, $convID);  

然后执行它：

$res = mssql_query($q, $dbhandle);

$text应该是自由文本，因此它可以包含各种奇怪的字符（现在让我们继续使用ASCII）。 最简单的情况是$ text包含引号，例如$text = "Mc'Donalds"

在ms_escape_string函数内部，我尝试通过用2个引号''替换'来防止这种情况。 我回显查询字符串：

UPDATE testTable SET Text='Mc''Donalds', [Read]=0, TimeUpdated='2012-08-03 12:44:49', [From]='bogus' WHERE ID='14'

（注意：在同一个数据库上从VS服务器资源管理器执行此查询就可以了）

一切似乎正常-请参见Mc''Donalds的双引号-但执行时仍然失败： [mssql_query(): message: Incorrect syntax near 'Mc'

我以为SET QUOTED_IDENTIFIER可能是罪魁祸首，所以我尝试了

 $q = "SET QUOTED_IDENTIFIER OFF";
 $resq = mssql_query($q,$dbhandle);

在执行查询但没有雪茄之前-我仍然遇到相同的错误。

现在我被卡住了-我应该怎么做才能使包含单引号的字符串通过？

Answer 1

这个问题似乎与缺少本机mssql_real_escape_string（）函数有关，此函数可以解决此问题 。

您应该更担心SQL注入攻击，正如我们在评论中提到的那样，我们中的许多人最终都倾向于使用PDO来解决这个问题。

这种类型的“为下一个数据接收者逃脱准备”是FIEO口头禅（过滤器输入转义输出）的一部分。